当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134452

漏洞标题:身边的黑客之看我如何让车辆远程断电断油关闭报警

相关厂商:moootooo.com

漏洞作者: 小胖子

提交时间:2015-08-17 14:29

修复时间:2015-08-22 14:30

公开时间:2015-08-22 14:30

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-17: 细节已通知厂商并且等待厂商处理中
2015-08-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

机车游侠隶属于上海锘钛通信科技有限公司,是目前中国机车中装机量最大的GPS防盗模块,拥有广大的用户群体和良好的业界口碑,并以多渠道报警(电话、短信、微信)和多端口监控(微信、APP、web地图)和多途径防盗(远程锁定、断电、断油)等著称。
表哥职业病,正准备摩旅,安装了机车游侠,手贱,其实初始对这类企业是选择相信的,但是事实总让人失望,如果小偷得到这样的权限,当防盗器失去了本身的作用,又会有怎样的危害呢?

详细说明:

官方网站:http://www.moootooo.com/
首先对moootooo.com的子域名进行二级域名fuzz,并没有什么发现,猜测可能采用了集团域名或者其他管理域名。
发现一处命令执行,是一个管理系统,跟财务相关。
http://112.124.33.6/mpsf/loginAction.action
dir:/root/apache-tomcat-6.0.35/webapps/mpsf/
get到shell http://112.124.33.6/mpsf/images/wooyun.jsp

webapp.jpg


备注:服务器是阿里云的,所以shell可能随时没有。
后来针对mail进行攻击,发现采用的是腾讯企业邮箱。
发现弱口令账户 mlxian@moootooo.com 123456a
摸清楚了组织架构,并且找到了管理域名是moootooo.cn
并得到了一些常用密码。
虽然这些密码已经不能使用,但是对后续渗透有比较大的帮助

a.jpg


包括很多SVN账户,邮箱账户等,都直接明文密码在邮箱传输

svn.jpg


通过VOS的账户,登陆到VOS平台,还可以查看短信发送记录哟

vos.jpg


duanxin.jpg


很多服务器有非常多的 phpinfo之类的信息泄露。

p.jpg


从邮箱得到的部分密码,成功登陆了PMS,Bugfree,两个大集团的平台,歌华在线和海能集团

pms.jpg


bugfree.jpg


haineng.jpg

gehua.jpg


各种明文密码在邮件里飞,受不了,不再一一列举

server.jpg


可以控制很多台服务器

ssh.jpg


然后访问SVN服务器,得到很多敏感信息,包括后台地址等 SVN很多弱口令

SVNliebiao.jpg


从SVN下载的文档

ht.jpg

漏洞证明:

那如何能影响广大的受众群体呢,普通的机车游侠消费者。
站在小偷的角度上想,需要得到以下几个条件。
1.哪些人使用了机车游侠?
2.他们都在哪里?
3.我如何关闭防盗器直接把车拉走?
我们一一解决。
一、首先哪些人使用了机车游侠?
我们找到一处注入

sqlin.jpg


管理平台8003端口 一个测试系统,但是很不幸,弱口令+后台注入。
机车游侠管理都是绑定手机号的,我们count一下
报告大侠,表ALL_USER有50981行数据!----2015/8/16 11:18:13
嗯 这是个人机车安装用户量,不算集团客户。
其中usernmae就是手机号,PWD直接忽略,当然也可以拿pwd解出来 md5 加了简单的salt
二、他们在哪个地方?
得到用户手机号后,我们需要对用户进行定位。
我拿我朋友做个测试,成功在用户表中找到了他,13459263917 (审核后期打马赛克)
那如何定位呢,机车游侠宣传说7*24小时在线客服服务,那就盯准了在线客服服务系统
http://d.moootooo.cn:8800/login.php
从以前的邮件来看,登陆账号是真实姓名。密码应该相对简单,登陆包知识用户名URL encode,无验证码,burp跑一圈。
尝试后得到弱口令
李春燕 密码 654321
进入机车游侠在线客服系统

kefu.jpg


通过查找手机号,找到了我的朋友,甚至找到了车辆的过户记录。

2.png


通过点击前台按钮,直接对用户车辆进行定位,车型什么的一目了然。

qiantai.jpg


三、我如何关闭防盗器直接把车拉走?
进入前台后,点击机车设置,可以实现远程熄火,等各种危险操作,甚至关闭防盗器报警等。

xihuo.jpg


此时小偷需要掌握的信息都可以具备了,地址,电话,状态,关闭防盗,一台黄龙600的价值大概是5W元左右,小偷只需要带上金杯车即可。
这是朋友的反应

fany.jpg

修复方案:

感觉整个过程有非常多的问题,企业在发展的同事,也要注意信息安全,防止公司和用户的财产遭受重大损失。
修复建议
0x1:mail登陆绑定微信,启用微信二次验证。
0x2:后台管理系统启用二次验证,比如手机动态验证码。

版权声明:转载请注明来源 小胖子@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-22 14:30

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2015-08-22:已处理

2015-08-22:前期对乌云不是很熟悉,没有及时确认,很早已经和作者沟通解决了